Android 14는 Google Play를 통해 루트 인증서를 업데이트하여 악의적인 CA로부터 사용자를 보호합니다.

변하기 쉬운Jul 20, 2023

루트 인증서를 추가하거나 제거하기 위해 OTA 업데이트를 요구하는 데 사용되는 Android의 루트 저장소. Android 14에서는 그렇지 않습니다.

Android에는 파란 달마다 한 번만 못생긴 머리를 기르는 약간의 문제가 있지만 그럴 때 약간의 패닉을 유발합니다. 다행히 Google은 Android 14에 이 문제를 해결하는 솔루션을 제공합니다. 문제는 Android 시스템의 루트 인증서 저장소(루트 저장소)는 대부분의 Android 존재에 대해 무선(OTA) 업데이트를 통해서만 업데이트할 수 있다는 것입니다. OEM과 이동통신사는 업데이트를 더 빠르고 자주 푸시하는 데 더 능숙해졌지만 상황은 여전히 ​​더 나을 수 있습니다. 그렇기 때문에 Google은 Google Play를 통해 Android의 루트 저장소를 업데이트할 수 있는 솔루션을 고안했습니다. 안드로이드 14.

매일 온라인에 접속할 때 장치의 소프트웨어가 방문하려는 웹 사이트를 호스팅하는 올바른 서버를 가리키도록 올바르게 구성되어 있다고 믿습니다. 올바른 연결을 설정하는 것이 중요하므로 나쁜 의도를 가진 사람이 소유한 서버에 들어가지 않고 안전하게 그 연결을 설정하는 것 또한 중요하므로 해당 서버로 보내는 모든 데이터는 전송 중 암호화(TLS)되며 잘하면 쉽게 할 수 없습니다. 스누핑. OS, 웹 브라우저 및 앱은 서버(TLS) 보안 인증서를 신뢰하는 경우에만 인터넷(HTTPS)의 서버와 보안 연결을 설정합니다.

하지만 인터넷에는 너무 많은 웹사이트가 있기 때문에 OS, 웹 브라우저 및 앱은 그들이 신뢰하는 모든 사이트의 보안 인증서 목록을 유지하지 않습니다. 대신 사이트에 발급된 보안 인증서에 누가 서명했는지 확인합니다. 자체 서명했거나 신뢰하는 다른 엔터티(인증 기관[CA])에서 서명했습니까? 이 유효성 검사 체인은 보안을 발급한 루트 CA에 도달할 때까지 여러 계층이 될 수 있습니다. 인증서에 서명하는 데 사용되는 인증서 최종적으로 서명한 인증서 현재 사이트에 발급된 인증서 방문.

루트 CA의 수는 직접 또는 직접 발급한 보안 인증서가 있는 웹사이트의 수보다 훨씬 적습니다. 하나 이상의 중개 CA를 통해 OS 및 웹 브라우저가 사용할 수 있는 루트 CA 인증서 목록을 유지 관리할 수 있습니다. 신뢰하다. 예를 들어 Android에는 OS의 읽기 전용 시스템 파티션인 /system/etc/security/cacerts에 제공되는 신뢰할 수 있는 루트 인증서 목록이 있습니다. 앱이

신뢰할 수 있는 인증서 제한, 인증서 고정이라고 하는 방식을 사용하면 보안 인증서를 신뢰할지 여부를 결정할 때 기본적으로 OS의 루트 저장소를 사용합니다. "시스템" 파티션은 읽기 전용이므로 Android의 루트 저장소는 OS 업데이트 외부에서 변경할 수 없으므로 Google에서 새 루트 인증서를 제거하거나 추가하려고 할 때 문제가 발생할 수 있습니다.

경우에 따라 루트 인증서는 만료 예정, 잠재적으로 사이트 및 서비스가 중단되고 웹 브라우저가 안전하지 않은 연결에 대한 경고를 표시합니다. 경우에 따라 루트 인증서를 발급한 CA는 악의적이거나 손상된 것으로 의심되는. 또는 새 루트 인증서 CA가 실제로 서명 인증서를 시작하기 전에 모든 주요 OS의 루트 저장소에 추가되어야 하는 문제가 발생합니다. Android의 루트 저장소는 자주 업데이트할 필요가 없지만 Android의 상대적으로 느린 업데이트 속도가 문제가 되는 경우가 많습니다.

그러나 Android 14부터 Android의 루트 저장소에는 Google Play를 통해 업데이트 가능. Android 14에는 이제 OS의 루트 저장소가 포함된 두 개의 디렉터리가 있습니다. 앞서 언급한 immutable-outside-of-OTA /system/etc/security/cacerts 위치 및 업데이트 가능한 새로운 /apex/com.[google].android.conscrypt/security/cacerts 예배 규칙서. 후자는 Android의 TLS 구현을 제공하는 Android 10에 도입된 Project Mainline 모듈인 Conscrypt 모듈에 포함되어 있습니다. Conscrypt 모듈은 Google Play 시스템 업데이트를 통해 업데이트할 수 있으므로 Android의 루트 저장소도 마찬가지입니다.

Android의 루트 저장소를 업데이트 가능하게 만드는 것 외에도 Android 14는 시스템 루트 저장소에 대한 Google의 연간 업데이트의 일부로 일부 루트 인증서를 추가하고 제거합니다.

Android 14에 추가된 루트 인증서는 다음과 같습니다.

  1. AC RAIZ FNMT-RCM 서비스 세구로스
  2. ANF ​​보안 서버 루트 CA
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. 확실히 루트 E1
  5. 확실히 루트 R1
  6. 써텀 EC-384 CA
  7. Certum 신뢰할 수 있는 루트 CA
  8. D-TRUST BR 루트 CA 1 2020
  9. D-TRUST EV 루트 CA 1 2020
  10. DigiCert TLS ECC P384 루트 G5
  11. DigiCert TLS RSA4096 루트 G5
  12. 글로벌 트러스트 2020
  13. GlobalSign 루트 E46
  14. GlobalSign 루트 R46
  15. HARICA TLS ECC 루트 CA 2021
  16. HARICA TLS RSA 루트 CA 2021
  17. HiPKI 루트 CA - G1
  18. ISRG 루트 X2
  19. 보안 통신 ECC RootCA1
  20. 보안 통신 RootCA3
  21. Telia 루트 CA v2
  22. Tugra 글로벌 루트 CA ECC v3
  23. Tugra 글로벌 루트 CA RSA v3
  24. TunTrust 루트 CA
  25. vTrus ECC 루트 CA
  26. vTrus 루트 CA

Android 14에서 삭제된 루트 인증서는 다음과 같습니다.

  1. 상공회의소 루트 - 2008
  2. Cybertrust 글로벌 루트
  3. DST 루트 CA X3
  4. EC-ACC
  5. GeoTrust 기본 인증 기관 - G2
  6. 글로벌 체임버사인 루트 2008
  7. 글로벌사인
  8. 그리스 학술 및 연구 기관 RootCA 2011
  9. 네트워크 솔루션 인증 기관
  10. QuoVadis 루트 인증 기관
  11. 소네라 클래스2 CA
  12. Staat der Nederlanden EV 루트 CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS 루트 CA
  18. VeriSign 범용 루트 인증 기관

TLS 인증서에 대한 자세한 설명은 제 동료를 읽어 보십시오. Adam Conway의 기사는 여기. Android 14의 업데이트 가능한 루트 저장소가 작동하는 방식과 그 이유에 대한 자세한 분석은 다음을 확인하세요. 예전에 내가 쓴 글 주제에.